LINUX.ORG.RU

Форум

Активные теги:

 , , , , , , , , , , , , , ,

Ну реально, любители вейлянда «у менявсёработаетвейляндлутчий»... когда наконец паритет будет?

Форум — Talks

Сегодня открываю приложение и вижу:

Running QGIS in a Wayland session will result in a degraded experience due to limitations in the underlying Qt library and current versions of the Wayland protocol.
It is highly recommended that you switch to a traditional X11 session for an optimal user experience.

Не говорите, что разработчики qgis криворукие. Пишу не флейма ради, а чтобы вы видели. Потому что сидя в своём тиктокчике вы думаете что этим мир и кончается и никому ничего больше не нужно.

 , ,

R_He_Po6oT
()

Карты Intel ARC где-то сейчас применяются?

Форум — Talks

Недавно в новостях видел какую-то новую карту от Intel(нашёл - Intel ARC B60 Dual), у которой 48 ГБ памяти. Саму новость не читал, но после неё шла другая новость про продажу рабочих станций на тех же картах, только их уже 4 и суммарная видеопамять в 192 гигабайта. Таки звучит интересно, но я что-то не помню, чтобы Intel юзали в сфере ИИ или вообще где-то ещё. Может сейчас что-то поменялось? Nvidia сместили?

 ,

Tyse_EX
()

Подключение remmina к RDS Windows Sever 2016

Форум — General

Здравствуйте. Есть RDS Windows Sever 2016 с опубликованной коллекцией приложений. Windows client RDP подключается нормально. Но если я подключаюсь пользователем через remminа, то при подключении игнорируется настройка «Запуск программы» и нужная программа не запускается. Но если пользователю дать права админа сервера, то при подключении remmina начинает работать нормально, то есть запускать те приложение, которые прописаны в настройках. Админы RDS Windows Sever 2016 говорят, разбирайся с remmina, так win client rdp работает нормально. Подскажите куда копать?

 , ,

NkzAlex
()

nwg-displays не применял настройки - файл monitors.conf не был включен в hyprland.conf

Форум — Desktop

может кому пригодится на будущее

настройки через nwg-displays не применялись

оказалось оно сохраняло в monitors.conf

но в главном конфиге не было source на этот файлик

радости запинывания системы на ходу

$ grep monitor .config/hypr/hyprland.conf
monitor=,preferred,auto,auto
source = ~/.config/hypr/monitors.conf

 , ,

realaaa
()

Банки, переводы, карты.

Форум — Talks

Как-то давно не интересовался русскими банками, а тут надо было полторы тыщи эур вытащить со своей карты, так они мне её заблокировали. Совсем всё плохо стало, что кому-то интересны эти копейки?

 

pekmop1024
()

Разная работа терминалов по WiFi

Форум — General

Приветствую.

Есть в двух смыслах удаленная девборда в саду.

Подключена к домашней точке. Сигнал слабый, пинг 100мс, 150мс.

Подключился по SSH в терминале. Делаю некоторые дела. Само собой, проскакивают лаги в командах, mc\mcedit вообще бывает висят.

Один раз, когда завислов - подключился вторым терминалом. И заметил странную вещь.

В первом терминале повисло. Чаще всего на выходе с mcedit, когда он обновляет интерфейс. Но не только в нем.

Но в другом терминале в этот момент все работает - консоль воспринимает ввод, и выводит вывод.

С чем связана такая разная работа двух терминалов на одной и той же железке?

 

windows10
()

А стоит ли self-hosted NAS того?

Форум — Talks

Нужно общее хранилище, к которому можно было бы подключиться с любого устройства в любой момент времени. 2TB должно хватить. Данные бóльшего объёма можно хранить где-нибудь отдельно.

Что мы имеем:

  • iCloud, в котором 2TB стоят ₽7,200/год.
  • NAS. Допустим, он будет основан на RPi с шапкой SATA, общей стоимостью ₽20,000. Если говорить о долгосрочном хранении, то через 10 лет он если не сломается внутри, то что-нибудь произойдёт: прольётся вода, упадёт, не выдержит электропомеху. Поэтому можно сразу учесть замену и получить ₽40,000 в общем. WD Red Plus 2TB стоит ₽10,000 и по-хорошему должен меняться каждые 4 года непрерывного использования. Ещё нужен какой-нибудь VDS, на котором крутился бы WireGuard для общего доступа, допустим за ₽2,000/год.

Если эти соображения верны, то через 20 лет за iCloud я заплачу ₽144,000, а за NAS — ₽130,000.

Неужели всё настолько плохо?

 

kaldeon
()

Tilix - заметка про баг прокрутки

Форум — Desktop

Если у вас в tilix прокрутка ведёт себя странно, вывод улетает вверх при попытке прокрутки содержимого или не даёт прокручивать вообще или прокрутка прыгает. То

  • Параметры->Оформление

И снять галочку «Использовать оверлейную полосу прокрутки».
После этого закрыть все терминалы tilix и открыть заново.

dron@gnu:~$ tilix --version
Версии
	Версия Tilix: 1.9.6
	Версия VTE: 0.82
	Версия GTK: 3.24.50

Особые возможности Tilix
	Уведомления включены=0
	Триггеры включены=0
	Значки включены=1
Distributor ID:	Debian
Description:	Debian GNU/Linux forky/sid
Release:	n/a
Codename:	forky

Мелочь, но очень неприятная.
Всем бобра
Досвиданья

 , , , ,

LINUX-ORG-RU
()

Как работает STOMP??

Форум — Development

На сервере SpringBoot, вот я делаю:

@RestController
public class ApiController {

    ...

    @MessageMapping("/cmd")
    @SendTo("/resp")
    public CmdRespMessage conCommand(CmdReqMessage cmdReqMessage, SimpMessageHeaderAccessor headerAccessor) {

        что-то делаю...

        return new CmdRespMessage(200, ip, id, state);
    }

В браузере:

const stompClient = new StompJs.Client({
    brokerURL: 'wss://host/wsapi/xxx-websocket'
});

stompClient.onConnect = (frame) => {
    console.log('Connected: ' + frame);

    ...

    stompClient.subscribe('/resp', (msg) => {
        conResponse(JSON.parse(msg.body).code....);
    });

    ....	
};

Потом делаю в каком-то месте паблиш:

	stompClient.publish({
		destination: "/app/cmd",
		body: JSON.stringify({'ip': ip, ....})
	});

И я рассчитываю, что оно прилетит мне в коллбек, и оно прилетает, да, но! Оно разлетается по всем соединениям. То есть бродкастится просто по всем открытым вебсокетам. Я рассчитывал, что это будет работать в рамках коннекта.

Это я что-то не так сделал, или так и задумано? Как эти запросы-ответы по коннекциям разделить?

 , ,

a400k4a
()

Плавный скроллинг в системе Linux mint cinnamon

Форум — Desktop

Всем здравствуйте, хочу спросить о возможности плавного скроллига в системных приложениях, мне его очень сильно не хватает, за ранее спасибо большое! PS. Я достаточно опытынй пользователь так что о сложности решений можете не беспокоиться

@Vsevolod-linuxoid видел тебя много раз в ответах, надеюсь на помощь

Перемещено hobbit из desktop

 , ,

wnwpw
()

Изменение на сайте: разметка в поиске и перестроение индекса

Форум — Linux-org-ru

В поиске теперь есть размерка, т.е. наконец то должны быть корректно видны цитаты и другие элементы.

Ради этого пришлось запустить перестроение индекса, так что некоторое время поиск будет видеть только новые сообщения и статистика будет не полная. Это пройдет как индекс отстроится.

Отображение наверняка где-то кривое, если столкнетесь то киньте пример plz. Про странный вид кода я уже вижу, это можно не репортить.

 

maxcom
()

Экономика шквора, мотивация пользователей и новости про Ubuntu

Форум — Talks

Привет, ЛОР!

Как ты, наверное, смог заметить, свежий релиз Ubuntu-Kubuntu-Edubuntu 25.10 вышел уже 5 дней как, а новостей на ЛОРе всё ещё нет. Как думаешь, почему?

В давние-давние времена на ЛОРе сложилась достаточно устойчивая экономическая политика шкворца: пользователь делал новости и отвечал в тех.разделах, зарабатывал шквор, после чего тратил его в Talks на троллирование. Задачей умелого тролля было балансировать доход шкворца и его расход, таким образом получая лулзы. Тот же широкоизвестный @Sun-ch годами сидел со шквором между 0 и 100, не уходя в бан, но и не накапливая его чрезмерно много.

Всё сломалось с введением дополнительных модераторских инструментов. Теперь шкворец не имеет большого смысла, ведь даже при наилегчайшем троллинге вместо траты шкворца можно легко получить три месяца бана и при этом не израсходовать ни капельки шкворца, что наглухо ломает всю мотивацию его зарабатывать. Грубо говоря, мы наблюдаем массивную стагфляцию экономики ЛОРа: средств вокруг дофига, каждый третий аккаунт имеет по 5 звёзд, но «купить» на эти средства тупо нечего.

Чтобы ЛОР стал лучше, нужна полная переработка местной экономической политики и возврат к стабильному курсу обмена шкворца на лулзы. Что я предлагаю:

  • Убрать возможность заморозки аккаунтов. Она тупо не нужна, ей пользуются только всякие обиженки;
  • Автоматически снимать шкворец за постинг в Talks, постинг в треды с больше чем N комментариев и так далее;
  • За провинности снимать не константное количество шквора, а процент от имеющегося;
  • Увеличить награду шкворцем за новости;
  • Добавить возможность перечислять шкворец в награду за хорошие посты и комменты;
  • Я не знаю, мб что-то ещё можно сделать.

Другими словами, ЛОРу необходима геймификация шкворцемеханики. Такие вот дела.

P.S. ещё надо вернуть тот самый опрос, после него ЛОР явно стал скатываться в сраное.

 , ,

hateyoufeel
()

OneTimeSecret: ложь на спине опенсорса?

Форум — Security

возможно в Talks? Не знаю.

Несколько дней назад чёрт меня дёрнул озаботится вопросом «безопасности» сервиса OneTimeSecret.

После относительно внимательного изучения обнаружилось вот что: проект играет на ожиданиях и, возможно, ещё и лжёт.

1. Многие верят или хотят, чтобы верили другие

Во всяческих статьях по безобразности для хакеров OTS активно форсят. Например:

Там встречается такое:

The secret is encrypted and password protected, hence it is immune to interceptions and man-in-the-middle attacks. The password-protected secret ensures the message isn’t tampered with in transit. The sender can set an autodestruct timer for the secret. Thus, even if the message is not opened, it will be destroyed after a certain period.

То есть утверждается:

  1. Секрет шифрован.
  2. Защищён паролем.
  3. Устойчив к MITM.
  4. Пароль защищает от подмены.
  5. Если сообщение не было открыто, оно будет уничтожено.

Спойлер: 1, 2, 3 — правда. 4, 2, 1, 3 — ложь. 5 — мы не знаем!

2. «Автор»

Вот этот пацан: Деланó Engineering leader and expert in high-performing teams and secure systems. Former VP Engineering at health tech startups. Passionate about privacy and open source. Aiming to develop essential web security tools full-time.

Что он нам расскажет про своё поделие?

I built One-Time Secret as a way to share sensitive information that’s both simple and secure.

I built secure

Строитель, значит.

4,784 commits [848,342 ++ | 708,361 –]

https://github.com/onetimesecret/onetimesecret/graphs/contributors

~ allows you to send sensitive information in a safe way knowing it’s seen by one person only.

Если бы он сказал ‘thinking’ — был бы прав.

~ we decided to err on the side of simplicity.

Languages Ruby 45.9% (30+KLOC) Vue 30.3% TypeScript 20.7% HTML 1.2% Python 0.8% Shell 0.8% Other 0.3%

Желания лезть в их код нет.

Why should I trust you?

General we can’t do anything with your information even if we wanted to (which we don’t). If it’s a password for example, we don’t know the username or even the application that the credentials are for.

Ахахаха! https://github.com/onetimesecret/onetimesecret/issues/281

If you include a passphrase (available under «Privacy Options»), we use it to encrypt the secret. We don’t store the passphrase (only a bcrypted hash) so we can never know what the secret is because we can’t decrypt it.

Мы не храним. Мы не логируем. Мы что угодно!

Ага. В основном.

Beside all that, the code is opensource so you can review the code and/or run your own instance.

А вот это хорошо!

3. Пригорело

https://onetimesecret.com/en/about/

How do you handle data requests from law enforcement or other third parties? ~in most cases, we simply don’t have any data to provide in response to such requests~

ИН МОУСТ КЕЙСИЗ!!! А изредка?

4. К делу

HTTPS for all connections encryption at rest for stored data

Собственно на этом всё. Да, есть TLS. Но данные идут открыто.

Один ключ на бэке: https://docs.onetimesecret.com/en/self-hosting/environment-variables/

SECRET=your-32-char-hex-key           # Secret key for sessions and encryption (REQUIRED) - DO NOT change after setting

Вот рассказывают как отправить «секрет»: https://docs.onetimesecret.com/en/rest-api/v1/create-secrets/

$ curl -X POST -u 'USERNAME:APITOKEN' -d 'secret=SECRET&ttl=NUMBER_IN_SECONDS' https://us.onetimesecret.com/api/v1/share

Ну то-есть так и написать им «ето сикрет».

Query Params secret: the secret value which is encrypted before being stored. There is a maximum length based on your plan that is enforced (1k-10k).

И ещё внимательней:

passphrase: ~ is also used to encrypt the secret and is bcrypted before being stored so we only have this value in transit.

Да. Через ?passphrase=мойчучун отправляешь им пароль. Ну хранить они его не будут, честно. Даже логировать!

Я ничего не смыслю в Ruby. Мне гпт5 пишет, что в apps/api/v1/logic/secrets/base_secret_action.rb.

  1. Подменят данные удалённо — и не заметишь.
  2. Будет у юзера «доверенный сертификат» от начальства (компании\сраны) — им даже клиент подменять не надо будет: снифай себе и снифай.
  3. Логировать будут. И пароль положат себе в файлик, а потом продадут.

5. Под прикрытием MIT LICENSE

Дядька заявляет: безопасно, зуб даю! (я инжинер) Мы шифруем! (и даже httpS — секуре) Вот код: (30к)

И правда ведь шифруют. И канал связи шифрован, сертификат, AES GCM, ключ 256 бит, и всё такое. Но это не то, что ожидаешь. Хотя открыто e2e никто не обещал! И это подло, я считаю. Это либо злой умысел (меня купили\заставили\я и сам рад), либо из корысти (я заработаю\всей правды не скажу), либо что? Что мешает, пусть и в браузере, сделать по-честному шифрование?


И я

А я несколько раз имел неосторожность советовать этот сервис. Стыдно.

P. S. А что, пока я сидел, всюду кроме новостей запретили спойлеры?

 onetimesecret, , криптокопрофилия

BruteForce
()

Debian

Форум — General

Я не перешёл на i3wm. Всё вроде бы очевидно: установить, да настроить. Но я больше не кастомизирую серьёзно. Я задался вопросом: зачем мне это всё? XFCE, Budgie, i3wm, bspwm, dwm… Проще поставить Budgie и работать. Да, у меня не так много времени, как казалось бы. Мне просто надо работать, а не менять конфиги каждую секунду, как мазохист, ради скриншота. Зачем? Что это мне даст?

И да, я, возможно, философствую. И да, это может быть бессмысленно. Но вопрос: зачем? Просто поставил нужную DE и всё, работаешь. Зачем менять DE, настраивать конфиги того же i3wm, если это время можно потратить на что угодно, например, на изучение Linux, а не DE/WM?

И, возможно, я на выходных поставлю i3wm на виртуалку. И то не факт. Ладно. Спасибо тем, кто обратил внимание. А я спать.

Фото

Перемещено hobbit из screenshots

 

IceFox
()

Почему связка find xargs rdfind у меня не работает?

Форум — General
rdfind -checksum sha256 -makehardlinks true /media/1/Steam*
Now scanning "/media/1/SteamLibrary", found 12266 files.
rdfind -checksum sha256 -makehardlinks true "/media/1/Steam*"
Now scanning "/media/1/Steam*", found 0 files.
find /media/ -mindepth 1 -maxdepth 1 -type d -print0 | xargs -0 -I {} rdfind -checksum sha256 -makehardlinks true {}/Steam*
Now scanning "/media/1/Steam*", found 0 files.
find /media/ -mindepth 1 -maxdepth 1 -type d -print0 | xargs -0 -I {} rdfind -checksum sha256 -makehardlinks true "{}/Steam*"
Now scanning "/media/1/Steam*", found 0 files.

 , ,

bbgg
()

Сайт игрового движока Godot заблокирован ?

Форум — Development

Пару недель наверное, может больше, может меньше, сайт игрового движока Godot не работает. Оператор Ростелеком.

 , , ,

Dontes
()

Три года не мог увидеть иконки в Debian под LXDE. Наконец, я это сделал.

Форум — Desktop

Предыдущая тема ушла в архив:

Нет иконок в стабильном Debian 11 - KolourPaint, Kwrite и другие

По результатам этого обсуждения, было выработано не самое правильное решение, которое влияло на форматирование и отступы во всем DE-интерфейсе:

Как в Debian Linux настроить иконки в LXDE, если они отсуствуют

Сегодня, наконец, разобрался в этом вопросе.

Если кому интересно, то решение находится в статье:

Как заставить отображаться иконки в Debian 11, Debian 12 в программах KolourPaint, KWrite, Kate и других KDE приложениях?




Перемещено hobbit из general

 , , , ,

Xintrea
()

дистриб для vm

Форум — General

Всем привет!

Сижу на gentoo уже лет 15, на vds тоже gentoo, устал админить.

Нужен дистриб для виртуалки с postgresql с минимальным администрированием и максимальной стабильностью.

Что посоветуете господа?

 ,

Drew0
()

Клиент в сети Mikrotik не подключается через openvpn

Форум — Admin

Здравствуйте. Есть сеть на базе Mikrotik L009+точки доступа CAPsMAN (пакет wifi-qcom). Все подключённые устройства по wifi и ethernet работают нормально, но одно устройство (роутер, который выступает как openvpn клиент) не подключается к своему vpn серверу в инете. К сожалению, к настройкам этого роутера нет доступа и нет возможности посмотреть ошибки, но если вместо роутера mikrotik подключить к провайдеру другой роутер и последовательно включить роутер-openvpn клиент, то он успешно подключается к своему vpn серверу. Это даёт понять, что провайдер не блокирует доступ к vpn серверу. Из странностей, которые заметил, это то что в mikrotik L2 MTU bridge1: 1560, ethernet1 (wan port) L2 MTU: 1600, ethernet2 (свитч с точками доступа) L2 MTU: 1596. Если конфигурацию восстановить на новом роутере, то L2 MTU bridge1: 1598, ethernet1 (wan port) L2 MTU: 1598, ethernet2 (свитч с точками доступа) L2 MTU: 1598. Пробовал играться с firewall filter/NAT/Mangle, change MSS, но результата не получил. Подскажите, пожалуйста, в чём может быть проблема?

Вот конфигурация:

/interface bridge
add name=bridge-guestWiFi
add name=bridge1
/ip pool
add name=dhcp_pool0 ranges=192.168.88.11-192.168.88.254
/ip dhcp-server
add address-pool=dhcp_pool0 interface=bridge1 name=dhcp1
/routing table
add disabled=yes fib name=toREZERV
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=ether6
add bridge=bridge1 interface=ether7
add bridge=bridge1 interface=ether8
/ipv6 settings
set disable-ipv6=yes disable-link-local-address=yes forward=no
/ip dhcp-client
add interface=ether1
/ip dhcp-server network
add address=192.168.88.0/24 dns-server=192.168.88.1 gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
/ip firewall filter
add action=log chain=input dst-port=53 log-prefix=DNS-INPUT protocol=udp
add action=accept chain=input comment="Allow DNS queries to router" dst-port=\
    53 protocol=udp
add action=accept chain=forward comment="Allow Keenetic DNS" dst-port=53 \
    protocol=udp src-address=192.168.88.210 src-port=""
add action=accept chain=forward comment="Allow IPsec NAT-T" log=yes \
    log-prefix=IPsec port=500,4500 protocol=udp
add action=accept chain=forward comment="Allow ESP" log=yes log-prefix=ESP \
    protocol=ipsec-esp
add action=accept chain=forward comment="Allow L2TP" log=yes log-prefix=L2TP \
    port=1701 protocol=udp
add action=accept chain=forward comment="Allow PPTP" log=yes log-prefix=PPTP \
    port=1723 protocol=tcp
add action=accept chain=forward comment="Allow GRE" log=yes log-prefix=GRE \
    protocol=gre
add action=accept chain=forward comment="Allow OpenVPN" log=yes log-prefix=\
    OpenVPN port=1194 protocol=udp
add action=accept chain=input comment=UnblockCapsman dst-address-type=local \
    src-address-type=local
add action=accept chain=input dst-address=127.0.0.1
add action=accept chain=input dst-port=5246,5247 protocol=udp
add action=log chain=forward log=yes log-prefix=VPN-> src-address-list=\
    192.168.88.210
add action=log chain=forward comment="Log Keenetic forward" disabled=yes \
    log-prefix=KEENETIC-FWD src-address=192.168.88.210
add action=log chain=output comment="Log Keenetic output" disabled=yes \
    log-prefix=KEENETIC-OUT src-address=192.168.88.210
/ip firewall mangle
add action=change-mss chain=forward disabled=yes new-mss=1360 out-interface=\
    ether1 protocol=tcp src-address=192.168.88.210 tcp-flags=syn
add action=change-mss chain=forward comment="Clamp MSS" disabled=yes new-mss=\
    clamp-to-pmtu protocol=tcp tcp-flags=syn
/ip firewall nat
add action=masquerade chain=srcnat comment="Keenetic NAT for VPN test" \
    out-interface=ether1 src-address=192.168.88.210
add action=masquerade chain=srcnat out-interface=ether1
add action=masquerade chain=srcnat out-interface=vpnXXXX.xxxxxxxx.com-SSTP
add action=masquerade chain=srcnat disabled=yes out-interface=ether1
add action=masquerade chain=srcnat disabled=yes out-interface=\
    vpnXXXX.xxxxxxxx.com-SSTP
/ip route
add disabled=yes distance=1 dst-address=0.0.0.0/0 gateway=192.168.178.1 \
    routing-table=main scope=30 suppress-hw-offload=no target-scope=10
add disabled=no distance=1 dst-address=172.30.101.0/24 gateway=\
    vpnXXXX.xxxxxxxx.com-SSTP routing-table=main scope=30 \
    suppress-hw-offload=no target-scope=10
add disabled=no dst-address=192.168.103.0/24 gateway=\
    "REZERV - ru.xxxxxxxx.com" routing-table=main suppress-hw-offload=no
add disabled=yes distance=1 dst-address=192.168.103.0/24 gateway=\
    "REZERV2 - ru.xxxxxxxx.com" routing-table=main scope=30 \
    suppress-hw-offload=no target-scope=10
add disabled=yes distance=1 dst-address=0.0.0.0/0 gateway=\
    "REZERV - ru.xxxxxxxx.com" routing-table=main scope=30 \
    suppress-hw-offload=no target-scope=10
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=\
    "REZERV - ru.xxxxxxxx.com" routing-table=toREZERV scope=30 \
    suppress-hw-offload=no target-scope=10
add disabled=yes distance=1 dst-address=0.0.0.0/0 gateway=\
    xxxxx.xxxxxxxx.com-SSTP routing-table=main scope=30 suppress-hw-offload=\
    no target-scope=10
add disabled=no distance=1 dst-address=172.30.103.0/24 gateway=\
    xxxxx.xxxxxxxx.com-SSTP routing-table=main scope=30 suppress-hw-offload=\
    no target-scope=10
/ip service
set ftp disabled=yes
set ssh disabled=yes
set telnet disabled=yes
/ip traffic-flow
set cache-entries=4k interfaces=bridge1
/ip upnp interfaces
add interface=bridge1 type=internal
add interface=ether1 type=external
/system clock
set time-zone-name=Europe/Moscow
/system logging
add action=echo topics=bgp
add disabled=yes topics=wireless,debug
add topics=dhcp,debug,firewall
/system routerboard settings
set enter-setup-on=delete-key

 ,

Keks-m
()

Помогите с настройкой iptables + redsocks + privoxy

Форум — Admin

Помогите, плз, с настройкой…

Компьютер в локальной домашней сети имеет адрес 192.168.1.104.

Домашний роутер имеет адрес 192.168.1.1.

На роутере выход в интернет осуществляется через wireguard (машину 10.0.0.1). В сети 10.0.0.0/24 роутер имеет адрес 10.0.0.2.

На порту 8888 машины 10.0.0.1 работает redsocks. redsocks пересылает трафик на порт 3128, где работает privoxy.

На машине 10.0.0.1 настроены такие правила iptables:

iptables -t nat -A PREROUTING -i wg0 -p tcp --dport 443 -j DNAT --to-destination 10.0.0.1:8888
iptables -A POSTROUTING -o eth0 -j MASQUERADE

На 10.0.0.1:

  • wg0 - это интерфейс с адресом 10.0.0.1
  • через eth0 выход в интернет

Когда пытаюсь открыть страницы в браузере на 192.168.1.104, получаю ошибку PR_END_OF_FILE_ERROR.

НО! Если машину 192.168.1.104 подключить к VPN серверу напрямую, ну, т.е., запустить клиент WG, приконнектиться, получить IP (он будет 10.0.0.7), то для 192.168.1.104 всё заработает идеально! Трафик пойдет на 10.0.0.1, https будет перенаправляться на redsocks, далее на privoxy, и потом в интернет. Сайты открываются.

Ну, и соответственно, если не подключать 192.168.1.104 к WG, использовать подключение на роутере, убрать на WG сервере правило:

iptables -t nat -A PREROUTING -i wg0 -p tcp --dport 443 -j DNAT --to-destination 10.0.0.1:8888

то тоже сайты будут открываться, но мне надо пустить трафик на сервере именно через privoxy.

Вопрос: почему в связке с redsocks это не работает без прямого подключения к серверу WG? И как это исправить?

 , , ,

le_
()

RSS подписка на новые темы